信用卡被盜刷七次共1萬零150元,但手機沒收到一次性密碼(OTP)的交易通知,夫婦向銀行查詢後,銀行說這些交易都有一次性密碼驗證,因此不列爲詐騙案,要求他們必須償還欠款。目前雙方正通過新加坡金融業爭議調解中心向銀行商量賠錢事宜。
32歲婦女無法使用信用卡的附屬卡支付診所醫藥費,檢查後發現附屬卡在兩個月前被盜刷了七次共1萬零150元,但她指手機沒收到一次性密碼(OTP)的交易通知,而且她也沒點擊過任何可疑鏈接導致個人資料外泄。
當事人是陳偉雄(38歲,石油燃氣業主管)和朱雪兒(32歲)夫婦,陳偉雄是信用卡持有人,朱雪兒則使用相關附屬卡。兩人後來得知,這些錢是被轉去彙款公司,隨後過賬到一家馬來西亞公司。
兩人接受《聯合早報》訪問時說,朱雪兒今年1月在婦産科付醫藥費時,發現常用的星展銀行信用卡被拒收。兩人一查才發現去年11月底,信用卡在一小時內進行了七項交易,每項交易1400多元。
兩人向彙款公司查詢後獲知,當天其實有10項交易,但在第七項後收到銀行通知交易可能涉及詐騙,結果最後三項交易被取消。
夫婦倆也稱,他們向銀行查詢後,銀行說這些交易都有一次性密碼驗證,因此不列爲詐騙案,要求他們必須償還欠款。
朱雪兒說:“我們一向很注重網絡安全,沒隨便將個人資料外泄,更不會把一次性密碼交給陌生人,真不知道對方是如何盜刷的。”
黑客可用惡意軟件閱讀手機內一次性密碼
英國倫敦智庫戰略網絡空間與國際研究中心亞太區執行副總裁佘仰明受訪時指出,想要盜用信用卡的人,得同時擁有信用卡的卡號,以及銀行發出的一次性密碼。就陳偉雄和朱雪兒的情況而言,不法之徒可能侵入兩人的手機,並掌握了附有一次性密碼的手機短信。
佘仰明解釋,兩人的手機可能下載了惡意軟件(malware)或不可靠的應用,黑客透過惡意軟件或應用操作受害者手機。“在這起案件中,受害者的手機可能接到一次性密碼的短信,但在使用者發現前,黑客已閱讀並刪除了短信。”
專家提醒別點擊可疑鏈接
佘仰明說,這是一起獨立個案,而非短時間內在不同人身上發生類似案件,由此可推測漏洞來自手機,而非電信公司或信用卡系統被入侵。
他指出,顧客可請數碼取證專家調查了解事發經過。他也提醒公衆別點擊不可信的鏈接。
陳偉雄說,兩人目前正通過新加坡金融業爭議調解中心(FIDReC)跟星展銀行商量賠錢事宜。“我們並沒有做錯事,不明白爲什麽這筆錢要由我們承擔。”
新加坡金融業爭議調解中心總裁蔡惠涵回複本報詢問時說,除了這起案件,該中心也有收到其他情況類似的個案,多數還在調解。
她說:“我們接過的類似案件中,銀行能證明交易有經過一次性密碼認證,但顧客卻堅持他們並沒有收到一次性密碼。”
星展銀行發言人受詢時說,銀行的系統安全、可靠,以及沒被入侵。彙款公司采用3D安全驗證,要求顧客使用短信或數碼令牌(digital token)收到的一次性密碼,驗證每一項交易。
發言人說,此案還在調解,目前不便置評,若顧客決定向FIDReC求助,銀行將全力支持調解的過程。